root cez ssh
Radek Vybiral
Radek.Vybiral na vsb.cz
Neděle Leden 18 17:38:24 CET 2004
On Sun, 18 Jan 2004, Dalibor Straka wrote:
>
> Priznam se, ze cely zivot balancuji mezi obema variantama. Ono to totiz
> az tak moc velke zabezpeceni neni. Aby se nedalo odchytit heslo na roota
> je vhodne pouzivat klice. Sice kdyz uz napadl ssh tak si asi muze
> precist privatni klice, ale je to bezpecnejsi.
Přidám k tomuto poměrně plodnému vláknu taky nějaké moudro.
Výše uvedené dilema se dá v případě Linuxu a počítám, že i u dalších Unixů
využívajích knihovnu PAM, vyřešit tak, že k získání práv roota není
potřeba znát jeho heslo.
Pokud se v /etc/pam.d/su povolí příslušné řádky, pak jsou práva uživatel
root akceptována pro ty uživatele, kteří patří do skupiny "wheel".
Samozřejmě příkaz "su -" také zapíše do logu, kdo se tím rootem stal,
takže je to vhodné i na ty případy, kdy je více adminů.
Je pravda, že se to nejvíce uživí na serverech, na desktopu jsem třeba v
případě MDK vyzván při spuštění příslušného nástroje na vložení hesla
uživatele root.
Nakonec tak můžete mít heslo někde v obálce pro případ fyzické havárie a
podobných událostí, nemusí ho kromě jednoho člověka nikdo vědět.
R.V.
Další informace o konferenci Linux